• Pink Elephant - Leading The Way In IT Management Best Practices - PinkVerify™ - Ferramentas
  Ferramentas para suportar os processos do ITIL
  (tags: ITIL Tools)
• Bluetoothtracking.org
  Portal que lista online dispositivos bluetooth disponíveis.
  (tags: bluetooth)
• Designing Effective Customer Questionnaires on BNET
  Um artigo sobre como elaborar questionários/checklists efetivos
  (tags: checklists artigo)

Algum tempo atrás eu falei sobre a tendência dos Datacenter verdes. Um vídeo bem interessante mostra em 90 segundos a construção de um destes datacenters.

Minha palestra este ano na H2HC foi sobre insegurança na implementação de webservices baseados em REST. Os organizadores já disponibilizaram as apresentações e veio a público uma falha na implementação de REST na plataforma RoR (Ruby on Rails).

• Download PE Explorer 1.99, DLL Viewer, EXE Resource Editor and Disassembler - Borland Delphi EXE Decompiler and Editor.
  Página oficial do PE Explorer
  (tags: Assembly)
• | SWAMP Workflow Administration and Management Platform | home
  Ferramenta de workflow
  (tags: workflow)
• Common Configuration Enumeration (CCE): Unique Identifiers for Common System Configuration Issues
  Projeto do mitre que busca identificar e padronizar configurações de sistemas
  (tags: GestaoConfiguracao Mitre)
• Linha de Código - Série Conhecendo Ferramentas de Automação para Teste de Software - WebLOAD - Parte 2
  Continuação do artigo sobre a ferramenta open-source WebLOAD. A ferramenta fornece um ambiente de performance e carga.
  (tags: testes desenvolvimento)
• Linha de Código - Automação e Gerenciamento de Testes: Aumentando a Produtividade com as Principais Soluções Open Source e Gratuitas (2a edição)
  Artigo citando uma série de ferramentas open-source para o processo de engenharia de software
  (tags: desenvolvimento Tools)
• CvsGui - Downloads
  GUI para cvs
  (tags: CVS GUI)
• Excel Software - Software Development Tools
  Várias ferramentas para desenvolvimento de software, incluindo uma para gerar help de forma bem simples.
  (tags: Tools desenvolvimento)

Eu particularmente não vejo muito expertise e investimento do governo Brasileiro em programas de respostas a incidentes (Se for desconhecimento, por favor me informem!). Agora o que vem me surpreendendo é o investimento e trabalho dos nossos governantes em relação a uma possível epidemia de gripe aviária.

Me surpreende primeiro pelas várias iniciativas e depois pela priorização. Afinal existem inúmeras outras ameaças com maior probabilidade de ocorrência e nada é feito. Priorização é um conceito básico de gestão de riscos.

O governo já trabalhou nas seguintes iniciativas para evitar uma epidemia de gripe aviária:

• Distribuiu uma cartilha de 44 páginas com informações sobre a gripe aviária e suas consequências;
• Monitora a rota migratória das aves;
• Disponibilizou o telefone (0800 611995) para esclarecer dúvidas sobre gripe aviária;
• Está implantando um sistema informatizado nos portos para evitar a entrada de seres infectados no Brasil.

De qualquer forma fica o elogio para nossos governantes mas, que isso seja estendido a outras frentes e que seja feito uma análise técnica e que seja priorizado o tratamento dos riscos.

A prática de análise de vulnerabilidade e/ou pentest em ambientes tecnológicos está longe de ser bem amparada por padrões e metodologias. Existe muito conteúdo disponível mas, no geral os profissionais acabam desenvolvendo um framework próprio com base em documentos como: OWASP Testing Guide; OSSTMM; ISSAF e vários outros documentos disponíveis na internet. Isso profissionais capacitados e com boa experiência, pois, a grande maioria executa como bem entende e sem um método estruturado.

A notícia boa é que o NIST publicou o Technical Guide to Security Testing. O documento está bem estruturado e utilizando todos os documentos citados como referência.

O documento trata desde, fases até ferramentas e cuidados que devem ser tomados por profissionais que desejam realizar testes de segurança em ambientes tecnológicos.

A estrutura do documento é a seguinte:

1 - Introdução

2 - Information Security Testing Overview

3 - Review Techniques

4 - Target Identification and Analysis Techniques

5 - Target Vulnerability Validation Techniques

6 - Information Security Test Planning

7 - Security Testing Execution

8 - Post-Testing Activities

Uma assunto bastante negligenciado e que já abordei aqui no blog é a segurança na cadeia de valores (Supply Chain). A ISO acaba de lançar a série 28000. O objetivo da série é estabelecer um sistema de gestão de segurança na cadeia de valores.

• ISO 28003:2007Security management systems for the supply chain -- Requirements for bodies providing audit and certification of supply chain security management systems

• ISO 28000:2007Specification for security management systems for the supply chain

• ISO 28004:2007Security management systems for the supply chain -- Guidelines for the implementation of ISO 28000

• ISO 28001:2007Security management systems for the supply chain -- Best practices for implementing supply chain security, assessments and plans -- Requirements and guidance

Se até bem pouco tempo reclavamos da falta de padrões em segurança, num futuro próximo vamos aclamar por um padrão que gerencie todos os sistemas de gestão.

• Workflow Download.com - Download Workflow Software
  Repositório com várias ferramentas de workflow para download
  (tags: workflow)
• WifiZoo
  Ferramenta de captura de dados em redes wireless
  (tags: wifi pentest Tools)
• Nikto
  Página oficial do Nikto (ferramenta de análise de segurança em aplicações web)
  (tags: webdev Tools pentest)
• OpenWFE - open source workflow engine
  Engine em Java para gerar workflow com base em notações XML
  (tags: xml workflow)
• Welcome to REMO | REMO - Rule Editor for ModSecurity
  Interface gráfica para mod_security
  (tags: apache GUI)
• Basic Analysis and Security Engine (BASE) -- Homepage
  Ferramenta baseada no ACID para gestão de alertas de Snort
  (tags: IDS Snort)

• cqure.net
  Várias ferramentas para análise de segurança, inclusive banco de dados DB2
  (tags: DB2 Tools pentest)
• untidy - XML Fuzzer
  Ferramenta de Fuzzing em XML
  (tags: fuzzing xml)
• Yawcam - Yet Another Webcam Software
  Software que adiciona a característica de detecção de movimentos em webcam
  (tags: CFTV webcam)
• NTCore's Homepage
  Ferramenta de edição de arquivos PE
  (tags: PE desenvolvimento)
• Bloodshed Software - Dev-C++
  Programa para edição de C/C++
  (tags: C++ IDE desenvolvimento)

• BC Management
  Portal especializado em carreiras relacionadas a gestão de continuidade de negócios
  (tags: BCP)
• UK Resilience - Publications
  Vários papers sobre gestão de riscos e BCP
  (tags: BCP riskanalysis)
• Good practice archive
  Vários papers sobre segurança física e infra-estrutura
  (tags: papers BCP)